サイバーリスクとは？リスクマネジメントや、サイバー攻撃の手口や事例を解説

おすすめの方

・社内システム整備が自身の本来業務になっている方

・システム投資に権限・責任を持つ経営陣

・怪しいメール開封への注意やパスワード管理・更新の徹底などが社内通達で回ってきた経験がある方

・WAF、DMZ、EDRなど最近の防御法（セキュリティ）に関心がある方

1.サイバーリスクとは？

一言でいえば、企業がサイバー攻撃を受けることによって被る様々な支障、影響、損害です。一般的に、リスクは、その発生確率と、仮にその危害が生じた際の程度（どの程度広く影響し、甚大な損害が生じるか）の掛け合わせで定義されます。コンピュータやインターネットを使わない企業活動が想定できないように、ほぼ全ての従業員がコンピュータを扱い、日々、膨大なデータが処理されることを前提に企業活動は回っています。発生確率は上がり（メール開封１つ１つが攻撃かもしれません）、攻撃によって企業活動が受ける影響も甚大になっています。例えば、ＢtoＣの会社では、サイバー攻撃によって顧客の個人情報が漏えいしたり、サービス提供をする前提としての社内データが失われたり、業務そのものが止まったり、という被害が起こり得ます。ＢtoＢの会社でも、注文情報の多くはデジタル化されて、コンピュータやサーバ内で保存されているので、サイバー攻撃によってデータが破壊されたり暗号化されたりすると、出荷・注文などができなくなります。いずれの業界でも、顧客や取引先からの信頼を失う結果となります。

2.サイバー攻撃とは？

企業におけるサイバー攻撃としては、データを暗号化して、復元のために身代金を要求するランサムウェアの被害が近年急増しています（後掲のグラフにあるように、警察庁への被害報告が2020年度下半期は21件であったのが、2021年度は上半期だけで61件、下半期はさらに85件、と急増）。コロナ禍でテレワークが増えていますが、その結果、社内ネットワークに対する外部からの接続が増えて、従前のセキュリティ対策では不十分であったために不正アクセスを許してしまう事案が増えているのです。
なお、昨年夏の東京オリンピック・パラリンピック期間中、大会運営に関わるシステムやネットワークに仕掛けられたサイバー攻撃は、延べ4億5000万回もあった、と報道されています。すべてブロックして、パスワードが盗まれるような事態は防止できたそうですが、最近は、海外からの攻撃が急増し、一部は国家ぐるみであると言われており、技術はさらに高度化・巧妙化しています。

2-1 サイバー攻撃の現状

前述のように、コロナ禍・テレワークの増加は企業がサイバー攻撃を受けるリスクを高めています。また、ネットショッピング増加に伴って、インターネット上でのクレジット決済も増えており、その結果、他人のID・パスワードを入手して不正送金する事案も急増しています（後述する、フィッシングサイトへの誘導）。警察庁が検挙しているサイバー犯罪の多くは、個人が被害者となっている不正送金やクレジットカード不正利用ですが、その検挙件数の急増は、企業が直面しているサイバーリスクの高まりも示唆しています。

• 出典：警察庁による2022（令和４）年４月７日発表の「令和３年におけるサイバー空間をめぐる脅威の情勢等について」

2-2 サイバー攻撃の主要な手口

①マルウエア

ランサムウェア（コンピュータやサーバ内のファイルを暗号化して、復元のための身代金を要求する）に代表される、「悪意のある」プログラムを潜り込ませることです。感染経路としてはメールの添付ファイルを開かせるのが典型です。送信元アドレスを取引先や社内の他部署からであるかのように見せかける「標的型攻撃メール」が増えています。
ランサムウェア以外のマルウェアとしては、スパイウェアやボットが有名です。
一般的に、スパイウェアと呼ばれるのは、ユーザー自身が気づかずに、ホームページを見たり、フリーソフトをインストールしたりしただけで、コンピュータに入り込み、ユーザー名やパスワードなどの個人情報を盗み取って、外部へ送信するプログラムです。なお、ユーザーが「使用許諾契約」上で承諾して、ソフトウェアの利用状況や障害情報などを開発会社へ送信する場合にも定義上はスパイウェアとなりますが、送信される情報は個人情報ではなく、機能改善に活用するためのものです。

ボットとは、一定の処理を自動化するプログラムを指し、スマホに搭載されている音声アシスタントもボットですし、ホームページでユーザーの質問に回答するチャットもボットです。サイバー攻撃におけるボットとは、感染すると、コンピュータが外部から操られてしまうような不正なプログラムです。

②DoS／DDoS攻撃

DoSとは「Denial of Service」の略語です。日本語にすると、サービス妨害となります。ターゲットとなるWebサイトへ膨大な量のデータ、不正なデータを送りつけることで、Webサイトを管理するサーバを止めてしまう攻撃です。人気のあるコンサート・イベントの予約サイトにアクセスしようとすると、なかなか処理が進まず閲覧できないことがあります。一時的に多くの人がアクセスしてくると処理が増大し、大きな負荷がかかってしまうためです。Dos攻撃は、アクセス集中の状態を意図的に再現しているのです。

DDoSは「Distributed Denial of Service」の略語で、DoS攻撃をDistributed＝分散された、複数の発信元から同時に攻撃を行うことを意味します。
攻撃を受けたサーバやネットワーク機器には大きな負荷がかかり、ホームページへのアクセスができなくなったり、ネットワークの遅延が起こったりします。

DoS／DDoS攻撃は複雑な技術を必要としません。例えば、WindowsOSでは、キーボードの「F5」キーを押すと、画面が更新（リロード）されます。ホームページを見ている際にF5キーを押すと、ページが再読み込みされ、サーバへ処理リクエストが送信されます。繰り返しF5キーを押すと、サーバへの負荷がかかるので、連続してF5キーを押し続ける「F5アタック」でもDoS攻撃になります。前述のボットを組み込んで乗っ取ったコンピュータを複数台使って「F5アタック」を行う、というのは特別な技術がなくても可能です。
攻撃側が容易である一方、攻撃を受ける側が受ける大量のアクセスは、一見すると通常のアクセスと見分けがつかず、攻撃として来ているアクセスだけを区別して排除することは難しいです。

③ID・パスワードを不正入手してシステムにログインする攻撃

システム攻撃の直接的な方法は、管理者権限でログインすることです。ID・パスワードを不正入手する方法としては、ブルートフォース攻撃（総当たり）、辞書攻撃、リスト型アカウントハッキングなどがあります。

ブルートフォース攻撃（総当たり）は、４桁の暗証番号のように比較的短いパスワードを探るために、文字や数字について考えられる大量の組み合わせを試す攻撃です。人間ではできないので、プログラムで自動的に試していきます。「総当たり」のため、試行回数が多くなり、不正アクセスの検出は比較的容易です。

辞書攻撃は総当たりではなく、侵入者がパスワードとしてよく使われる単語や語句の「辞書リスト」を使って、不正ログインを試みる方法です。ただし、最近では、意味のある単語をパスワードとして使うことは避けられ、英字と数字の組み合わせが一般的であるため、「辞書リスト」方式は有効ではなくなっています。

これらの（攻撃側にとっての）弱点をカバーするために、試行回数を減らして不正ログインを成功させるのがリスト型アカウントハッキングです。企業では使い回しの例は少ないですが、個人では、複数のWebサービスで同じID・パスワードを共通して使っている場合があります。いずれかのサイトでID・パスワードが漏えいした場合、そのIDとパスワードを利用して他のWebサイトへの不正アクセスを試みると、成功確率が格段に上がります。試行回数も通常のアクセスと区別がつきにくくなります。企業でも現場ユーザーが外部のWebサービスを利用する際にはID・パスワードは使い回ししているケースがあるので、リスト型アカウントハッキングの被害を受けやすい状況です。

LECの法務・コンプライアンス研修全体を見る

3.サイバーリスクの事例

3-1 ランサムウェアによる被害

2021年度から急増しているランサムウェア被害は、様々な業界に広がっています。年度前半はセキュリティ対策が甘くなりがちな海外子会社が狙われることが多かったですが、後半からは国内の拠点が直接狙われることが増えて、私たちの日常生活にも影響を与えるようになってきています。

徳島県の地域を支える病院では、ランサムウェアで暗号化された結果、電子カルテが閲覧できないようになり、約２か月間、診療ができない状況に陥りました。2022年2月、国内最大手の自動車メーカーの国内工場が丸１日、稼働停止となりました。これは、自動車の内外装部品を供給する取引先がランサムウェア被害を受けた結果、部品の納品を受けられなくなったことが原因です。「ジャスト・イン・タイム」で製造効率化を極限まで進めた結果、組み立てメーカーは在庫を極力少なくしています。そのため、サプライチェーン（供給網）のどこかがサイバー攻撃が受けると、その影響は全体に波及することになります。

その他、発注書や図面などの機密情報が暗号化されてしまったり、100万件以上の個人情報漏えいの可能性がある状況となったり、基幹システムが暗号化された結果として上場企業の義務となっている四半期報告書の提出を延期せざるを得なくなったり、と様々な被害が生じています。

• 参考：ITmedia NEWS

3-2 ID・パスワードの不正入手による被害

2019年７月、国内最大手のコンビニ・チェーンが、QRコード®決済の新サービスを立ち上げました。しかし、開始当初から、身に覚えのない取引がされている、との問い合わせが来るようになり、不正支払いや不正チャージが800人以上、被害総額3861万円にものぼりました。これは「リスト型アカウントハッキング」によって、他人になりすましてログインするサイバー攻撃によるものと推測されています。不正アクセスを防止する措置として、ログインしようとしたユーザーに対して、ショートメール等でパスコードを送信して本人確認を行う二段階認証や、普段使っていない端末からのログインに対しては警告を発することが通常ですが、当時、そのような措置が全く採られていませんでした。当然、被害弁償はされましたが、顧客からの不信感が高まったこともあり、サービス停止後に再開することなく、QRコード®決済の独自システムは廃止となりました。

似たような事件は2020年にも続き、携帯電話最大手の通信会社が開設した、現金チャージ型のモバイルウォレットのサービスで不正チャージの被害が発生しました。これは、氏名、口座番号、生年月日、キャッシュカードの暗証番号など他人の銀行口座の情報を不正入手した犯人が、自身のアカウントに他人の銀行口座を登録して、そこから自身のアカウントへ不正に振込をしたものです。被害の原因は、通信会社側、銀行側の双方にありますが、通信会社としてはアカウント開設における本人確認が行われていなかった（メールアドレスだけで開設できた）、という問題点がありました。

これらの事件を受けて、QRコード®決済やモバイルバンキングにおいて、二段階認証の仕組みや本人確認の徹底などの対策が採られるようになりました。

• 参考：セブン＆アイ・ホールディングス
• 参考：不正検知Lab

4．サイバー攻撃によるリスク

サイバー攻撃は、「蟻の一穴から千丈の堤防が崩れる」かのように、1人の従業員の不注意からシステム全体へ波及し（攻撃発生時）、その後、顧客からの信頼失墜、取引先との関係悪化、規制当局からの調査・制裁などが生じ（影響発生）、最終的に、顧客や取引先に生じた損害・慰謝料の賠償、再発防止のためのセキュリティ強化・業務体制の見直し（損害発生）、と三段階に拡大していきます。
被害規模が大きく、市民生活にまで影響している場合、記者会見などのマスコミ対応も必要となり、場合によっては経営陣の引責辞任まで発展します。

4-1 サイバー攻撃発生時

前述のように、様々な攻撃手法があるので、ユーザー側では異常・不正アクセスに気づけないケースもあります。通常のPDFだと思って添付ファイルを開けたら、隠しファイルでプログラムが組まれていて、ランサムウェアの侵入となっている場合、ユーザー側ではすぐに気づけず、基幹システムまで侵入を許し、大量のファイルが暗号化されてしまう事態となります。

他にも、管理者権限が奪われ（ID・パスワードが不正入手され）、会社のホームページのプログラムが改ざんされた結果、そのサイトを閲覧したユーザーが別の悪意ある第三者のサイトへ自動的に誘導され、不正なファイルをダウンロードされたり、ユーザーのID・パスワードを入力させるフィッシング詐欺に利用されたり、というケースでも、ユーザーからの問い合わせがない限り、企業側では不正プログラムの存在に気づきにくいです。

攻撃発生時、いかに迅速に不正検出できるか、が重要となります。後述するサイバーリスク対策の第一歩として、EDR（エンドポイントでの検知と対応）導入が重要となるのは以上のような理由です。

4-2 影響発生時

システム障害から波及する影響としては、顧客の個人情報漏えいや不正出金などで損害を被って、顧客離れを起こす、事業停止によって取引先へ出荷ができなくなって操業停止となる、金融や通信等の社会インフラに影響が出て規制当局からの調査が入る等、企業業績や社会的評価が大きく低下するものが挙げられます。マイナスの影響を最小限に抑えるためにも、仮に攻撃が成功してしまった＝不正アクセスが行われた場合でも、障害の範囲を狭くする必要があります。

例えば、DMZ（DeMilitarized Zone：和訳すると「非武装地帯」）という仕組みは、攻撃を受けやすい外部ネットワークから、機密情報な個人情報を多く含む社内ネットワークと切り離すものです。DMZでは、ファイアウォールと呼ばれる関所が稼働します。ファイアウォールは、「必要な通信」と「不要な通信」を分けて、必要な通信だけを通過できるようにします。外部ネットワークとDMZ、DMZと社内ネットワーク、それぞれの間にファイアウォールを置きます。外部ネットワークとDMZの間にあるファイアウォールは要・不要の判定を緩く設定しつつ、DMZと内部ネットワーク間のファイアウォールは厳しく設定することで、社内ネットワークの安全性を高めます。

4-3 損害発生時

サイバー攻撃から悪影響が波及し、最終的に生じる損害は、企業規模・業種によって異なります。規模が大きく、一般市民が金銭的損害やカード番号流出などの大きな損害を被る場合、記者会見を行って原因究明や損害賠償、今後のセキュリティ対策などを発表することが要求され、マスコミ対応の手間・費用が発生します。

BtoBの場合、取引先から損害賠償を求められることは少ないと思います（何らか保険でカバーされているケースが多い）が、セキュリティ対策が不十分であったためにサイバー攻撃を受けたと判断されると、リスクが高すぎるとして、取引停止に追い込まれ、結果的に、企業が存亡の危機に直面する事態もあり得ます。

BtoCでは、金銭的損害を被った顧客に対して、丁寧に対応して、謝罪とともに、金銭賠償を行います。その際に、業界標準のセキュリティ対策を行っていたが、攻撃側が巧妙で突破されてしまった結果なのか、それとも、二段階認証やファイアウォール、WAFなどの仕組みを入れていれば防げたものが、それすら行っていなかった結果なのか、という備えの充実度の違いは、顧客心理に大きく影響します。セキュリティ対策が不十分だった、と判断されれば、どんなに良い商品・サービスを開発していても、顧客離れは避けられないでしょう。売上減とセキュリティ強化の費用増のダブルパンチを食らうことになるので、ここでも存亡の危機に直面します。

5．サイバーリスクに対するリスクマネジメント

以上述べてきたように、攻撃⇒影響波及⇒損害発生という三段階すべてにおいて、マイナスを最小限にするためにセキュリティ対策が重要となります。第一に、EDR導入を検討しましょう。ネット接続が当たり前となった現代、サイバー攻撃の端緒は、従業員一人ひとりが使うコンピュータからの不正侵入です。ユーザーが使うコンピュータ（エンドポイント）の動作を記録・保存し、AIを活用したデータ分析手法を使用して疑わしいシステム動作を検知し、悪意のある活動・プログラムをブロックし、影響を受けるシステムを復元するための対処提案を提供する対策がEDRです。

サイバー攻撃が疑われた場合、感染されたと思われるコンピュータやサーバに対して調査を行うのが通常です。これはフォレンジック調査と呼ばれ、ログファイルから不正アクセスの記録を見つけたり、削除されたファイルを復元して、どのような経路で不正アクセスがあったかを特定したり、という目的で行われます。1台100万円近くから、データ容量や緊急性によっては数百万円程度の費用がかかるケースもあり、仮に、社内の1部署、10台のコンピュータが感染した疑いがあると、調査費用だけで1000万円近くかかってしまうことになります。調査費用をカバーするためのサイバー攻撃保険も存在しますが、カバー範囲を広げると、月々の保険料も莫大になります。EDRは普段から疑わしいシステム動作を検知できるので、調査費用を抑える効果もあります。

不正侵入に早期に気づき、ネットワーク全体へ広がるのを阻止するためにもEDRは有効です。
次に、BtoCで、Webサイトへの外部からのアクセスが膨大に来る会社ではWAF導入も必須でしょう。DoS攻撃/DDoS攻撃を防ぐための盾として機能する仕組みです。前述のように、DoS攻撃/DDoS攻撃は攻撃側の負担が少なく、技術的にも容易に実行できるので、毎日、膨大な攻撃がなされます。無作為にサーバを狙うことが多く、なぜ、うちのような小さい会社を攻撃するのか？と疑問に感じてしまうような規模の会社も標的にされます。クラウド型WAFはコストも比較的低くなっているので、BtoCの会社ではぜひ、導入を検討しましょう。

最後に、こういったセキュリティ対策を外部業者へ丸投げするのではなく、社内で責任者・責任部署を置くことが大切です。小規模の企業では、システム部が存在せず、各部署でコンピュータに詳しい人が日々のトラブル対応を担っているのが実情ですが、セキュリティ対策は、労務トラブルや粉飾決算・横領といった人事・経理における問題以上に、頻度が高く、かつ、一度発生した場合の影響・損害が甚大です。人事部長、経理部長を置くのと同じように、システム部長・セキュリティ対策担当者を置くべきです。現場で攻撃を察知したら、迅速に情報をあげ、その後の対応を決める、一元化された担当者・担当部署が必須です。官庁や自治体、一定規模の大企業と取引する際には、「情報セキュリティ体制」や「情報セキュリティ管理基準」の提出が求められます。対策ソフト・仕組みの導入とともに、攻撃を検知した後の情報フローを含めた対策の組織体制（具体的な人名を入れたもの）の両輪が必要です。

5-1 サイバーリスク対策への体制づくりの流れ

「情報セキュリティ体制」や「情報セキュリティ管理基準」を作り上げるための流れは以下のようになります。

LECの法務・コンプライアンス研修全体を見る

6．まとめ

コロナ禍はテレワークやＥＣサイト利用を促進し、企業ネットワークに対する外部からのアクセスは飛躍的に増えました。サイバー攻撃がより高度化・巧妙化していて、防御が困難になっていきます。
そして、ＤＸ推進によって、従来は申込用紙や帳簿など紙で記録されていたデータもすべてがサーバ内で管理されている状況です。社内データが暗号化されてしまうランサムウェア被害はより甚大なものとなり、企業存亡の危機ともなりえます。

さらに、顧客自身の情報に対する感度の高まり、QRコード®決済・モバイルバンキングでの取扱額の増加によって、セキュリティ対策を怠った企業のユーザーが被る損害も大きくなっています。
サイバーリスクが日に日に大きくなっていることを踏まえた対応が必要なのです。

こちらもおすすめ

• ITリテラシーを高めるには？重要性と進め方（DX推進企業担当者向け）
• コンプライアンス違反は大リスク？事例や法令順守のための取り組みはこれだ！

監修者情報

反町 雄彦 そりまち かつひこ